В начале сентября 2025 года эксперты «Лаборатории Касперского» выявили новую кампанию группы BO Team, жертвами которой стали российские организации из разных сфер. Хактивисты обновили свой инструментарий — теперь они атакуют компании новой версией бэкдора BrockenDoor. Для получения первоначального доступа использовались целевые фишинговые письма: злоумышленники представлялись поставщиками услуг страхования и банковскими организациями. Сам бэкдор содержится в запароленном архиве, что затрудняет обнаружение защитными программами.
Группа хактивистов BO Team, также известная как Black Owl, Lifting Zmiy и Hoody Hyena, заявила о себе в начале 2024 года через Telegram-канал. В основном она занимается уничтожением ИТ-инфраструктуры жертвы, а в некоторых случаях шифрованием данных и вымогательством. Это серьёзная угроза, нацеленная как на максимальное нанесение ущерба атакованной организации, так и на извлечение финансовой выгоды. Cреди основных мишеней злоумышленников — госсектор и крупные предприятия.
Чтобы получить доступ к системам жертв, злоумышленники рассылают целевые фишинговые письма с вредоносными архивами. Легенды, судя по всему, адаптируются к каждой конкретной атаке. Например, в одном из писем утверждалось, что были обнаружены признаки злоупотребления полисом ДМС. Во вложенном архиве содержался исполняемый файл, замаскированный под PDF-документ. Расширение этого файла — .exe, причём злоумышленники специально отделили его от названия большим количеством пробелов, чтобы скрыть подмену. Архив защищён паролем, который указан в теле письма. Таким образом атакующие стремятся предотвратить автоматическое сканирование защитными программами.
После того как жертва откроет файл, отображается документ-приманка — фальшивый протокол о проведении «служебного расследования». Причём, в отличие от предыдущих кампаний, вредоносный файл не будет выполнять свои действия, если в системе не установлена русская раскладка клавиатуры — чтобы атаки были нацелены только на русскоязычных жертв.
Основной вредоносный код бэкдора полностью переписан на языке C#: это упрощает для атакующих процесс программирования. К тому же, для C# существует множество легкодоступных обфускаторов и пакеров, позволяющих скрыть вредоносное содержимое. Также вместо полных названий команд теперь используются сокращения до двух-трёх символов, что затрудняет анализ.
Сама функциональность бэкдора не претерпела значительных изменений. BrockenDoor связывается с сервером злоумышленников и отправляет им различную информацию, например имя пользователя и компьютера, версию операционной системы, список найденных на рабочем столе файлов. Если она кажется им интересной, бэкдор получает команды для запуска дальнейших сценариев атаки. Кроме того, в рамках новой кампании BrockenDoor применялся для установки обновлённой версии другого бэкдора — ZeronetKit, написанного на языке Go, который также используется в атаках группы BO Team.
«В рамках текущей кампании злоумышленники обновили свой инструментарий: уже знакомый нам бэкдор BrockenDoor был переписан на C#, а в зловред ZeronetKit, также известный с 2024 года, были добавлены новые команды для сетевой коммуникации. Жертвами атак стали российские организации, заинтересованные в ДМС для своих сотрудников. При этом стоит отметить, что фишинговые письма, ставшие первоначальным вектором проникновения в инфраструктуру пострадавших компаний, а также документы-приманки, скорее всего, создавались под конкретные цели: атакующие не использовали типовые шаблоны, а адаптировали вложения в каждой конкретной атаке под юридические документы, призывая жертву срочно ознакомиться с их содержанием. Мы продолжим внимательно следить за активностью группы BO Team», — комментирует Олег Купреев, эксперт по кибербезопасности «Лаборатории Касперского».
Редакция Cyber Media собрала ключевые события из мира кибербезопасности за эту неделю.
Аналитический центр Black Lotus Labs совместно с Министерством юстиции США провел операцию по нейтрализации прокси-сети SocksEscort, построенной на базе вредоносного ПО AVRecon.
Google выпустила внеплановое обновление стабильной ветки Chrome, закрывающее две критические уязвимости, которые, по данным компании, уже эксплуатируются в реальных кибератаках.
Исследователи Qualys Threat Research Unit обнаружили девять уязвимостей в модуле безопасности AppArmor, которые существовали с 2017 года и затрагивают более 12,6 млн систем по всему миру.
Более 200 представителей российских компаний ежегодно принимают участие в Security Summit — руководители ИБ, ИТ-директора и представители бизнеса.
Аналитики «Контур Фокуса» и «Контур Эгиды» представили исследование российского рынка информационной безопасности, охватывающее период с 1 марта 2024 по 1 марта 2026 года.
В 2026 году основным инструментом борьбы с технологическими подсказками на едином госэкзамене станут системы подавления сотовой связи.
СберФакторинг, дочерняя компания Сбера, внедрила Kaspersky Container Security для повышения уровня защиты контейнерных приложений на всех этапах их жизненного цикла — от разработки до эксплуатации.
«Базальт СПО», мировой производитель системного и инфраструктурного ПО на базе собственной платформы разработки провeдeт четвертую партнерскую конференцию AltConf: Orange Season.
В мартовском накопительном обновлении KB5079473 для Windows 11 компания Microsoft добавила в интерфейс панели задач новую функцию - быструю проверку скорости интернета.
